Systemausfälle stellen für Unternehmen ein hohes Risiko dar. Ist ein Unternehmen stark von seinen IT-Systemen abhängig, können größere Ausfälle nicht nur Geld kosten, sondern das Bestehen des Unternehmens an sich bedrohen. Banken, die selbst sehr stark von IT-Diensten abhängen, haben dies erkannt und haben damit begonnen, das Risiko möglicher Kreditausfälle an die Widerstandsfähigkeit der Kunden-IT zu koppeln. Wer auf veraltete Strategien zur Aufrechterhaltung der Geschäftskontinuität und Notfallwiederherstellung setzt, muss sich auf höhere Zinsen einstellen, die die Bank für ein höheres Risiko des Kreditausfalls berechnet. Mit einer State-of-the-Art-Lösung, die modernen Bedrohungen trotzt, kann man also bares Geld sparen, wenn der Kreditzins dadurch günstiger wird.
Banken und Versicherungen wissen, dass kritische IT-Systeme rund um die Uhr funktionieren müssen, um in der modernen Welt erfolgreich zu sein. Doch nicht nur im Finanzwesen ist die IT wichtiger denn je. In jeder Branche hat die Bedeutung der IT erheblich zugenommen und mit ihr die Risiken von Systemausfällen durch Ransomware-Attacken, Naturkatastrophen oder anderen geplanten oder ungeplanten Gründen. Je abhängiger ein Unternehmen von seinen IT-Systemen ist, desto höher ist das Risiko für das Unternehmen an sich – und für die Geldgeber hinter dem Unternehmen. Um das Risiko des Scheiterns eines Unternehmens aufgrund unzureichender Systemsicherheit besser einschätzen zu können, haben Versicherer, Kreditgeber und andere Finanzinstitute begonnen, sich den Stand der Business-Continuity-/Disater-Recovery-Strategien (BC/DR) ihrer Kreditkunden genauer anzusehen.
Viele Ausfälle sind das Resultat von menschlichem Versagen
Systemausfälle kommen aus verschiedensten Gründen vor – teilweise geplant und auch ungeplant, wenn etwas schief geht. Wenn das Geschäft betroffen ist, sorgen diese Ausfälle für unzufriedene Kunden, unschöne Schlagzeilen und hohe Summen an verlorenen Einnahmen. Einer der Gründe für ungeplante Auszeiten ist menschliches Versagen, gegen das augenscheinlich kein Kraut gewachsen scheint. Dies sollte jede Organisation beunruhigen, denn es gibt tausende von bekannten und unbekannten Fällen, in denen Unternehmen große Verluste durch Systemausfälle erlitten haben, die wie bei British Airways im vergangen Jahr darauf beruhte, dass ein Mitarbeiter einfach nur den falschen Stecker gezogen hat.
Auf technischer Ebene setzen Organisationen natürlich längst Strategien ein, um Systemausfälle theoretisch zu verhindern: Stretched Cluster sollen die Verfügbarkeit gemeinsam mit Snapshots und Backups gewährleisten. Angesichts zahlreicher erfolgreicher Ransomware-Angriffe und Systemausfällen, die theoretisch nicht hätten passieren dürfen, beginnen Unternehmen jedoch zu erkennen, dass Investitionen in Disaster Recovery-Technologien sie nur vor Hardware-Ausfällen und nicht vor logischen Fehlern schützen, wie eben Ransomware oder menschliches Versagen.
Stretched Cluster sind aktuell der technische Standard bei der Notfallwiderherstellung
Um zu verstehen, warum es regelmäßig zu Ausfällen kommt, ist es notwendig, sich anzusehen, welchen aktuellen BC/DR-Strategien die IT folgt. Um die höchstmögliche Verfügbarkeit zu erreichen, haben Unternehmen auf der Hardwareseite in Stretched-Cluster investiert. Snapshots und regelmäßige Backups auf der Softwareseite komplementiere diese und sollen RPOs und RTOs auf ein Minimum reduzieren. Der Stretched-Cluster bietet im Idealfall ein transparentes Failover im Falle eines Hardwareausfalls oder gar eines kompletten Desasters, das einen ganzen Standort betrifft. Die Nachteile eines ‚gestreckten Clusters’ sind seine hohen Kosten und Komplexität und die oft übersehene Tatsache, dass er alleine nicht vor logischen Fehlern oder verlorenen Daten von Anwendungen schützt.
Was hat der RTO mit Zinssätzen zu tun?
Die entscheidende Frage, wie sicher ein System letzten Endes ist und wie hoch die Risiken für einen Kreditgeber sind, läuft im Grunde genommen auf Folgendes hinaus: Was ist der RTO, also die Länge der Zeit, in der ein Unternehmen einen Systemausfall überwinden kann? Oft weiß der CEO nicht einmal, was genau ein RTO ist und dass sich dieser auf die Zinssätze der Darlehen seines Unternehmens auswirken könnte. Doch je abhängiger ein Unternehmen von seiner IT ist, desto eher interessieren sich Banken dafür, wie hoch das Risiko eines Kreditausfalls für sie tatsächlich wäre.
Irgendwann wird die Frage, wie hoch oder niedrig der RTO eines Unternehmens ist, zwangsläufig an einen IT-Manager gehen, der die BC/DR-Strategie eines Unternehmens verantwortet. Obwohl es die Aufgabe dieses IT-Managers ist, die Verfügbarkeit jederzeit und um jeden Preis zu gewährleisten, ist es in der Realität oft nicht so einfach, die genaue Antwort zu geben. Selbst mit den fortschrittlichsten und teuersten Speichersystemen, die auf Stretched-Cluster-Technologie basieren, können die meisten IT-Administratoren den RTO ihres Systems nicht benennen. Natürlich könnte der genaue RTO durch einen DR-Test ermittelt werden, der auch regelmäßig durchgeführt werden sollte. DR-Tests sind in der Theorie sehr einfach – man zieht den Stecker und startet die Stoppuhr. Die wenigsten IT-Manager würden dies tatsächlich machen, obwohl ihre Unternehmen viel Geld dafür bezahlt haben, dass sie es könnten.
Gerade in großen Organisationen können selbst geplante DR-Tests nahezu unmöglich werden. Die einzige Zeit des Jahres, in der diese großen Unternehmen ihre DR-Tests tatsächlich durchführen können, ist zwischen Weihnachten und Neujahr. Und dann wird aus Sicherheitsgründen immer nur ein Teilbereich nach dem anderen getestet.
Es ist nicht ungewöhnlich, dass große Unternehmen ein erfolgreiches Disaster-Recovery-Failback nicht innerhalb von acht Tagen oder mehr abschließen, da die zu verschiebenden Datenmengen einfach zu groß sind. Was jedoch sagt das über die Compliance und die Fähigkeit dieser Organisationen aus, Katastrophen zu vermeiden, wenn sie in Wirklichkeit nicht in der Lage sind, DR-Tests durchzuführen?
Der aktuelle Stand der Technik für BC/DR: Hypervisor-basiertes CDP
Finanzinstitute betreiben in Bezug auf die Verfügbarkeit sehr aufwändige IT-Systeme. Diese sind notwendig, da die Finanzindustrie sehr stark von diesen Systemen abhängig ist. Sie kennen das Risiko noch so kleinerer Systemausfälle, geschweige denn größerer Ausfallzeiten, die nicht nur Milliarden an Umsatzeinbußen verursachen würden, sondern auch einen immenser Vertrauensverlust ihrer Kunden und Partner bedeuten würden. Um Ausfallzeiten zu vermeiden, haben die meisten großen Finanzinstitute bereits in Lösungen investiert, die zusätzlich zu ihren hardwarezentrierten Lösungen auch vor logischen Fehlern schützen. Hypervisor-basierte Continuous-Data-Protection (CDP) ist der Stand der Technik, wenn es um BC/DR-Strategien geht. Hypervisor-basiertes CDP erweitert die Funktionalität der Stretched-Cluster-Technologie, indem es Unternehmen in die Lage versetzt, sich auch von menschlichem Versagen oder anderen logischen Fehlern zu erholen. Es bietet auch die Möglichkeit, DR-Tests mit einem Mausklick in Sekundenschnelle durchzuführen, um zu beweisen, dass ein System in der Lage ist, jeglichen Ausfällen standzuhalten.
Eine Plattform für IT-Resilienz kann teure Zinsen sparen
In Zeiten umfassender Digitalisierung werden Unternehmen immer abhängiger von der kontinuierlichen Verfügbarkeit ihrer Systeme. Im schlimmsten Fall können Systemausfälle über den Erfolg oder das Scheitern von Unternehmen entscheiden. Dies haben auch Banken erkannt und legen immer größeren Wert darauf, dass Unternehmen, denen sie Geld zur Verfügung stellen, entsprechende Strategien in puncto IT-Resilienz vorweisen können. Hat ein Unternehmen eine moderne IT-Resilienz-Plattform im Einsatz, minimiert es nicht nur sein eigenes Risiko, sondern auch das Risiko seiner Geldgeber. Das kann teure Prozentpunkte an Zinsen sparen.
Von Johan van den Boogaart, Zerto
#Netzpalaver #Zerto